Novell® Identity Manager 是一個系統軟體產品,可供組織用於安全地管理使用者社群的存取需求。如果您是該社群的一員,Identity Manager 會讓您受益無窮。例如,Identity Manager 可以讓組織:
從使用者第一天任職開始,就提供所需資訊 (如群組組織圖、部門白頁或員工查閱) 和資源 (如設備或內部系統帳戶) 的存取權限
將所有系統的多個密碼同步化為單一登入
必要時可立即修改或撤銷存取權限,例如有成員轉到其他群組或離開組織
支援合乎政府規定的措施
為了讓您或您的小組直接獲益,Identity Manager 使用者應用程式提供了一個可以在網頁瀏覽器中使用的使用者介面。
Identity Manager 使用者應用程式可用於檢視 Identity Manager 的各種資訊、資源和功能。系統管理員可以決定您在 Identity Manager 使用者應用程式中可以查看的內容和可以執行的動作。通常包括:
身份自助服務,讓您可以進行下列各項動作:
顯示組織圖
若您為管理員,可以提報與使用者有關的應用程式 (需要「Identity Manager 角色提供模組」)
編輯設定檔中的資訊
搜尋目錄
變更您的密碼、密碼處理安全回應和密碼提示
檢視您的密碼規則狀態和密碼同步化狀態
建立新使用者或群組的帳戶 (需要得到授權)
申請與核准,讓您可以進行下列各項動作:
申請資源
檢查資源申請是否得到核准
執行指定任務,核准其他資源申請
做為其他人的代理或委託人執行申請與核准
指定其他人做為您的代理或委託人 (需要得到授權)
管理小組所有的申請與核准功能 (需要得到授權)
視需要為各個申請或核准提供數位簽名
附註:申請與核准需要「Identity Manager 角色提供模組」。
角色可讓您:
申請角色指定及管理角色指定申請的核准程序
檢查角色申請的狀態
定義角色和角色關係
定義權限分散 (SoD) 條件約束及管理使用者申請覆寫條件約束的核准程序
瀏覽角色目錄
查看列出下列內容的詳細報告:目錄中定義的角色和權限分散條件約束、角色指定的目前狀態、權限分散例外和使用者授權
附註:角色需要「Identity Manager 角色提供模組」。
圖 1-1 IDM 使用者應用程式提供 Identity Manager 的使用者介面
下列範例說明介紹組織內的人員一般如何使用 Identity Manager 使用者應用程式。
Ella (一般使用者) 在登入時使用身份自助服務功能復原她忘記的密碼。
Erik (一般使用者) 執行了一次搜尋,尋找他所在位置中說德文的員工。
Eduardo (一般使用者) 透過瀏覽組織圖找到 Ella,並按一下電子郵件圖示向她傳送一封電子郵件。
Ernie (一般使用者) 瀏覽可用的資源清單,然後申請 Siebel* 系統的存取權限。
Amy (核准人) 透過電子郵件收到核准申請的通知,內含一個 URL。按一下連結後,便出現一張核准表單,她隨即將其核准。
Ernie 要檢查上一次申請 Siebel 存取權限的狀態 (已交由第二人核准)。他看到該申請還在處理中。
Amy 去度假,所以她表示暫時外出。外出期間,沒有新的核准任務指定給她。
Amy 開啟她的核准任務清單,看到其中有太多必須及時回應的任務,因此她重新指定幾個給其他同事。
Pat (行政助理,是 Amy 的代理使用者) 開啟 Amy 的任務清單,幫她執行核准任務。
Max (經理) 檢視部門員工的任務清單,發現 Amy 正在度假,於是將任務重新指定給部門的其他人員。
Max 為其部門的直接下屬申請資料庫帳戶。
Max 指定 Dan 為 Amy 的授權委託人。
Amy 外出期間,由 Dan (現在是委託核准人) 接收 Amy 的任務。
Max 僱了一名不支薪的實習生,這名實習生的資料不應輸入 HR 系統。所以系統管理員為這名實習生建立使用者記錄,並為他申請 Notes、Active Directory* 和 Oracle* 的存取權限。
Maxine (角色管理員) 建立了 Nurse (護士) 和 Doctor (醫生) 這兩個業務角色,以及 Administer Drugs (管理藥品) 和 Write Prescriptions (開處方) 這兩個 IT 角色。
Maxine (角色管理員) 定義了 Nurse 和 Administer Drugs 這兩個角色之間的關係,指定 Nurse 角色包含 Administer Drugs 角色。Max 還定義了 Write Prescriptions 和 Doctor 這兩個角色之間的關係,指定 Doctor 角色包含 Write Prescriptions 角色。
Chester (安全官) 定義了一個權限分散條件約束,指定 Doctor 與 Nurse 這兩個角色之間存在潛在的衝突。這表示一般情況下不可以將同一位使用者同時指定給兩個角色。在某些情況下,申請角色指定的個人可能想覆寫此條件約束。若要定義權限分散例外,申請指定的個人必須提供論證。
Ernest (一般使用者) 瀏覽可用的角色清單,然後申請指定 Nurse 角色。
Amelia (核准人) 收到核准申請的電子郵件通知 (內含 URL)。按一下連結後,便出現一張核准表單,她隨即將其核准。
Arnold (角色管理員) 申請為 Ernest 指定 Doctor 角色。他收到通知得知 Doctor 角色與 Nurse 角色之間存在潛在衝突,因為已將 Ernest 指定為 Nurse 角色。他提供一個論證來建立權限分散條件約束例外。
Edward (權限分散核准人) 收到權限分散衝突的電子郵件通知。他核准了 Arnold 覆寫權限分散條件約束的申請。
Amelia (核准人) 收到 Doctor 角色的核准申請電子郵件通知。她核准了 Arnold 提出的為 Ernest 指定 Doctor 角色的申請。
Bill (角色稽核員) 檢視「SoD 違規與例外報告」,查看是否已為 Ernest 指定 Doctor 和 Nurse 這兩個角色。